Kuzey Koreli Hackerlar, Kripto Para Sektörünü Hedef Almak İçin Chromium Zero-Day’ı Kullanıyor

Kuzey Koreli bir tehdit unsuru, finansal kazanç için kripto para birimi organizasyonlarını hedef almak amacıyla Chromium’daki bir sıfırıncı gün açığını istismar ettiği, bugün Microsoft tarafından yayınlanan bir rapor ile ortaya çıktı.

CVE-2024-7971 olarak tanımlanan bu açıklık, saldırganların compromize edilmiş sistemlerde uzaktan kod çalıştırabilmesine olanak sağlamaktadır.

Microsoft, saldırının sorumlusunu, özellikle kripto para birimi ile ilgilenen finans kurumlarını hedef alan Kuzey Koreli bir tehdit unsuru olan Citrine Sleet olarak belirlemiştir. Bu grup, kripto para sektörüne geniş çaplı bir keşif yapmakta ve sofistike sosyal mühendislik taktiklerini kullanmaktadır.

Bu taktikler, sahte iş başvuruları veya silahlandırılmış kripto para cüzdanları gibi kötü amaçlı yazılımları dağıtmak için meşru kripto para ticaret platformlarını taklit eden sahte web siteleri oluşturmayı içerir.

Saldırı zinciri, Chromium açığını istismar etmeyi, kötü amaçlı kodu çalıştırmayı ve FudModule rootkitini dağıtmayı içeriyordu. Bu rootkit, tespit edilemeyen ve saldırganlara, tehlikeye atılan sistemlerde yükseltilmiş ayrıcalıklar verme yeteneği olan sofistike bir zararlı yazılımdır.

2021’den beri kullanılmakta olup, en erken varyantı “kendi savunmasız sürücünüzü getirin” olarak bilinen bir teknikle, savunmasız sürücüleri istismar ederek yönetici-kernel erişimi kazanmıştır.

FudModule rootkit, daha önce Diamond Sleet’e, başka bir Kuzey Koreli tehdit unsuru olan kişiye atfedilmişti, bu durum iki grup arasında araçlar veya altyapının potansiyel olarak paylaşıldığını düşündürmektedir, Microsoft tarafından bildirildiği gibi.

Tehdidi hafifletmek için, Microsoft, sistemleri en son güvenlik yamalarıyla güncelleme, Microsoft Defender for Endpoint’ın müdahale koruması ve ağ koruma özelliklerini etkinleştirme ve EDR’yi engelleme modunda çalıştırma konusunda tavsiyelerde bulunmaktadır. Ek olarak, müşterilerin şüpheli aktivitelere karşı dikkatli olmaları ve herhangi bir alışılmadık durumu güvenlik ekiplerine bildirmeleri gerekmektedir.

Ayrıca, Microsoft müşterilerin kendi ağlarındaki ilgili tehditlere tanımlama ve yanıt verme konusunda detaylı tespit rehberliği ve av sorguları sağlar.